Ablauf einer Datenrettung
Schritt 1
Ablauf Datenrettung: 1. Beratung
Kostenlose Beratung
Schritt 2
Ablauf Datenrettung: 2. Übergabe defekter Datenträger
Übergabe defekter Datenträger
Schritt 3
Ablauf Datenrettung: 3. Analyse Datenträger
Analyse Datenträger
Schritt 4
Ablauf Datenrettung: 4. Festpreisangebot für Datenrettung
Festpreisangebot für Datenrettung
Schritt 5
Ablauf Datenrettung: 5. Datenwiederherstellung
Datenwiederherstellung
Schritt 6
Ablauf Datenrettung: 6. Rückgabe der geretteten Daten
Rückgabe der geretteten Daten
Ablauf einer Datenrettung

Geschätzte Lesezeit: 3 Minuten, 23 Sekunden

Datenrettung nach Trojaner-Befall und Verschlüsselung

Datenrettung anfragen

Verschlüsselte Daten erfolgreich wiederherstellen nach Viren- oder Trojanerbefall

Update 09/2018: Ransomware GandCrab V4 häufig als getarnte Bewerber E-Mail im Umlauf.

Datenrettung bei Verschlüsselung von GandCap Trojaner - Bewerbung als E-Mail mit Anhang

Der als Bewerberemail getarnte Trojaner wird direkt an Personalabteilungen adressiert. Auf den ersten Blick könnte es durchaus unverdächtig sein, vor allem wenn Unternehmen wie in der aktuellen Personallage regelmäßig Stellenausschreibungen publizieren. Bewerber senden ihren Lebenslauf, Beurteilungen und Zeugnisse oft per E-Mail. Warum auch nicht, vor allem wenn das so platzsparend per Archivformat ZIP möglich ist. Umso heimtückischer ist es, wenn sich plötzlich in der ZIP Datei ein Virus befindet. Sollten Sie eine E-Mail mit einer Bewerbung und zwei Dateien im Anhang erhalten, seien Sie vorsichtig! Im Fall GandCrab handelt es sich um eine .exe Datei, die zunächst noch aktiv ausgeführt werden muss. Erst dann startet sich der VBS Downloader und installiert GandCrab auf dem Windows PC. Die Verschlüsselung der Daten erfolgt allerdings im gesamten Netzwerk, welches über den PC erreichbar ist. Den verschlüsselten Dateien wird die Dateiendung „.krab“ angehangen. Daran lässt sich schnell erkennen, ob es sich um den Cryptotrojaner GandCrab handelt.

CTB-Locker-Screenshot-Erpressung-des-Users-nach-BefallDigitale Schädlinge gibt es mittlerweile unzählige – die wirtschaftlichen Schäden durch befallene Computer enorm. Neben Spionage (Wirtschaftsspionage) und Datendiebstahl werden oft auch die Daten von infizierten Datenträgern und Laufwerken teilweise oder vollständig gelöscht oder zerstört. Besonders trickreich gehen so genannte Verschlüsselungstrojaner vor. Eine seit 2014 bekannte Version nennt sich „CTB Locker„. Die Infizierung erfolgt auf dem klassischen Weg, meist durch den Aufruf infizierter Webseiten. Nach dem Befall wird der Benutzer über ein Pop-up Fenster über den Befall und die damit einhergehende Verschlüsselung sämtlicher auf der Festplatte oder SSD befindlichen Daten informiert. Im mehrstufigen „Assistenten“ wird dann die Möglichkeit eröffnet gegen Zahlung eines bestimmten Betrages (Lösegeldes) eine Entschlüsselung der Daten herbeizuführen. Das Zahlungsmittel ist in der Regel die Cryptowährung BitCoin. Es werden zwischnen 2 und 10 Bitcoins verlangt. Die Zahlung hat jedoch angeblich innerhalb einer von 15-30 Minuten zu erfolgen, damit die einwandfreie Rückgabe der Daten ermöglicht wird. Der CTB-Locker, allgemein auch als „Ransomware Onion” bekannt, verwendet selbst verschlüsselte Verbindungen über das Tor-Netzwerk und so genannte Onion-Adressen, die eine Verfolgung durch Behörden erschweren. Bereits zuvor kursierten andere Crypto-Trojaner wie Cryptolocker und CryptoWall im Internet und sorgten bei den Betroffenen für fatale Schäden durch die Verschlüsselung der Daten.

Wir retten da, wo andere aufhören.

Welche Datenträger sind betroffen?

Die (ungewollte) Verschlüsselung von Daten erfolgt bei Virenbefall auf allen verfügbaren Datenträgern, unter anderem von:

  • Festplatten (auch Datenrettung nach Reparatur der HDD/ bei mechanischem Defekt + verschlüsselten Daten)
  • RAID System
  • NAS/ Netzwerkspeicher
  • Server
  • SSD / andere Flash-Speicher

Welche Daten werden meist verschlüsselt?

Durch den Befall von Encryption-Schädlingen werden je nach Art unterschiedliche Datentypen verschlüsselt. Typisch sind vor allem folgende Bereiche:

  • einzelne Dateien
  • Auswahl bestimmter Dateitypen (z.B. alle jpg Bilddateien bzw. aufgrund des Dateityps vermeintlich wichtige Dateien)
  • bestimmte Ordner / Verzeichnisse (z.B. Eigene Dateien des Benutzers)
  • vollständiges Laufwerk (Volume/ Partition)

Gibt es Chancen zur Wiederherstellung von Daten, die durch Trojaner beschädigt oder verschlüsselt wurden?

Ja und Nein. Für die Wiederherstellung von Daten ist es entscheidend, welche Art von Trojaner den Schaden verursacht hat und in welcher Weise die Daten verschlüsselt wurden. Der Datenretter sollte sehr erfahren und mit modernen Verschlüsselungsalgorithmen und deren Aufbau vertraut sein.

Wir sind auf die Datenrettung von verschlüsselten Daten spezialisiert und bieten professionelle Hilfe zur Entschlüsselung und Datenwiederherstellung.

Express-Datenrettung und Entschlüsselung

In dringenden Fällen ermöglichen wir schnelle Hilfe durch unseren Express-Service. Das bedeutet, dass wir den betroffenen Computer oder Datenträger noch am gleichen Tag bei Ihnen abholen und eine Diagnose durchführen. Nachdem feststeht, welcher Schaden vorliegt, erhalten Sie umgehend ein Angebot zur Entschlüsselung und Datenrettung. Nach der Freigabe der Kosten setzen wir die Arbeit unmittelbar fort. Die Bearbeitung erfolgt dann durchgehend im 24h-Service auch am Wochenende oder an Feiertagen. Die Realisationszeit ist im Fall von verschlüsselten Daten nicht immer exakt zu ermitteln. Bitte beachten Sie dazu den folgenden Absatz.

Allgemeiner Hinweis zur Dauer von Entschlüsselungen und Datenrettungen um Zusammenhang mit verschlüsselten Daten

Die Entschlüsselung von Daten ist ein sehr aufwändiges und stark fallspezifisches Verfahren. Die Dauer zur Datenwiederherstellung ist meist nicht direkt feststellbar und kann unter Umständen (v.a. im Fall von sicheren Verschlüsselungsverfahren) über mehrere Wochen dauern. Sollten Sie von einem Datenretter eine feste Lieferzusage erhalten, handelt es sich vermutlich nicht um ein realistisches Angebot, da jeder Kryptografie-Experte genau weiß, dass je nach Algorithmus eine Entschlüsselung sehr zeit- und ressourcenaufwändig sein kann.

Fallstudie CTB Locker – Erfolgreiche Datenrettung und Entschlüsselung

Trojaner-CTB-Locker-verschluesselte-Daten-auf-SSD-Samsung-840Evo-Datenrettung-RecoveryLabNachdem wir eine virenverseuchte interne SSD aus einem Notebook eines Kunden erhielten, der einen Befall durch den Trojaner CTB Locker festgestellt hatte, führten wir zunächst eine Diagnose des Schadens innerhalb des Dateisystems durch. Schnell bestätigte sich der Verdacht und das Ausmaß des Schadens konnte ermittelt werden. In mehreren aufwändigen Verfahren wurde durch unsere Kryptographie Experten ein Workflow entwickelt, der die Entschlüsselung der Daten ermöglichte. Diese waren zuvor im Verfahren „Elliptic Curve Diffie–Hellman“ (ECDHE) nahezu unwiderbringlich verschlüsselt worden. Normalerweise setzen Trojaner auf AES oder RSA Verschlüsselungen, die ebenfalls sehr sicher, doch bei weitem nicht so stark sind, wie das ECDHE Verfahren. Es konnten alle Daten einwandfrei und konsistent (lesbar) wiederhergestellt werden, so dass der wirtschaftliche Schaden bei unserem Kunden stark verringert wurde.

Benötigte / wiederhergestellte Daten: Excel, PDF Dokumente und kompletter Ordner mit „Eigenen Dateien“

Erste Hilfe nach Datenverlust: Was kann ich tun, wenn ich einen Verschlüsselungs-Trojaner festgestellt habe?

  • Zunächst sollte Ruhe bewahrt werden  – kein voreiliges Handeln!
  • Zahlen Sie keine Lösegeldforderungen an Kriminelle
  • Schalten Sie den Computer direkt aus und starten Sie das Gerät nicht erneut!
  • Kontaktieren Sie einen erfahrenen Kryptografie-Experten zur Datenrettung
  • Unternehmen Sie möglichst keine Experimente mittels Antivirensoftware oder anderen Software-Tools, im schlimmsten Fall kann es zur totalen Zerstörung der Daten kommen und damit zum unwiederbringlichen Datenverlust.

 

Das könnte Sie auch interessieren:
24h Hotline - 0800 / 937 88 36
Jetzt Diagnose anfragen